Ülkemizde kart dolandırıcılığının günümüzde geldiği boyutun genel olarak sorumlusu kart hamilleri olduğu çünkü kart hamilleri tarafından kart bilgilerinin ve şifrelerinin 3. Şahıslarla paylaşılmasının buna sebep olduğu yönünde bir algı var veya bu şekilde yaratılmak istenen bir algı var. Ve bununla beraber çok tartışılan BDDK tarafından alınan, bankalar müşterilerine kredi kartı gönderirken Online Alışveriş Özelliği kapalı olarak gönderecekler ve hali hazırda pazarda kullanıcılar tarafından kullanılan tüm kredi kartları da online alışveriş özelliğine kapatılacak kararı var. Bu yazımda bu yukarıda bahsettiğim algının doğru olup olmadığı ve BDDK’nın aldığı karar hakkındaki görüşlerimi bulacaksınız. Bu konudaki görüşlerime temel oluşturmak için ayrıca ülkemizde ki dolandırıcılık trendinin tarihsel değişimini özetlemeye çalışacağım.
1980 öncesi dönemde kredi kartının üzerinde bulunan kabartma (emboss) bilgiler imprinter cihazı ile kredi kartı slibi üzerine aktarılarak yapılan işlemlerin büyük boyutlu dolandırıcılıklara ortam hazırlaması nedeniyle, kredi kartı plastiğinin arka yüzünde bulunan “Manyetik Bant” (Magnetic Stripe) bilgi iletişimi ve sahtekarlık ve dolandırıcılığa karşı bir tedbir olarak kullanılmaya başlamıştır.
Belli bir süre sonra manyetik bandın yapısında bulunan kopyalanabilme zaafiyetinin kısa sürede sektörü yaygın dolandırıcılık eylemlerine maruz bırakması ile birlikte, ilk laboratuar çalışmaları 1980 yılının ikinci yarısında IC (integrated Circuit) Cards adı ile başlayan ve niyahetinde kredi kartlarının üzerine küçük bir bilgisayar (Chip-çip) konulması ve işlemlerin çip ile birlikte kredi kartı sahibine verilen şifrenin (PIN – Personel Identification Number) birlikte yapılabilmesi şeklinde bir uygulamaya geçilmesi kararı alınmıştır.
Uluslararası kart kuruluşları Visa ve Mastercard tarafından 10 yıldan fazla devam eden hazırlık dönemi sonucunda chip & pin uygulmasına geçiş sürecinin tek düze olması mümkün olamamıştır. Özellikle Amerika ve Kanada Bölgesi, başlangıçta çip uygulamasına sıcak bakmamış ve yıllarca bu uygulamadan uzak kalmıştır.
Diğer bölgeler için de, çok önemli tutarda yatırım gerektiren (gerek kredi kartları üzerine çip konulması, gerekse, POS’ların kartlardaki chip’leri okuyacak hale gelmesi) çip yatırımları için uzun bir geçiş dönemi tanınmış ve geçiş süreci önce teşvik edilerek (bankaların birbirlerine ödedikleri takas komisyonunda farklılık yaratılarak) daha sonraları ise zorunlu uygulama haline getirilerek (çip’i olmayan bankanın dolandırıcılık riskini üstlenmesi) yaygınlaşması sağlanmıştır.
Ülkemizde 2005 yılının Ocak ayında başlayan kredi kartlarında çip&pin uygulmasına geçiş süresi 01.07.2007 tarihinde “zorunlu” uygulama haline gelmiş , aynı yıl 3D Secure uygulamaları da küçük çaplı olarak devreye girmeye başlamıştır. Bu zorunluluk türk bankalarına ait kartlar için söz konusuydu, henüz kartına çip konmamış olan yabancı ülke bankalarına ait kartlar manyetik bant üzerinden işlem yapmaya devam etmekteydi.
Ülkemiz için kart dolandırıcılığında trend kaymasının ilk kırılımı bu tarih itibariyle başlar. Kartların çipli basılması ve kart hamillerinin kredi kartlarını şifreli kullanmaya başlamasıyla kartın fiziksel olarak kullanıldığı işlemler kaynaklı sahte kart ve kayıp çalıntı dolandırıcıklarında büyük bir düşüş yaşanmaya başlar.Bu düşüş ile ülkemizdeki toplam dolandırıcılık tutarlarının aşağıya çekilmesi beklenirken, dolandırıcılık tutarında bir değişiklik olmaz çünkü sadece kart dolandırıcılığı şekil yani trend değiştirir. Artık bu tarihten sonra ülkemizde kart dolandırıcılığı kart hamillerinin fiziksel olarak işyerinde bulunmadığı, 5464 sayılı banka kartları ve kredi kartları kanunda mesafeli işlem(mail order,telefon order, elektronik ticaret) olarak adlandırılan işlemler kaynaklı sanal ortamda gerçekleşen işlemlere kaymıştır. Bu trend kayması aynı zamanda kart dolandırıcılığı ile birlikte dolandırıcılık nedeniyle oluşan mali sorumluluğun da kayması anlamına gelmekteydi. Fiziksel ortamda gerçekleşen kart dolandırıcılığı işlemlerinde mali sorumluluk büyük ölçüde bankalara kalırken, sanal ortamda gerçekleşen kart dolandırıcılığı işlemlerinde mali sorumluluk büyük ölçüde işyerlerine kaldı. Sanal ortamda 3D Secure olarak gerçekleşen fraud işlemlerin mali sorumluluğu ise kart hamiline kaldı.
Ancak özellikle USA ve diğer ülkelerde o yıllarda çipe geçiş süreci tamamlanmadığı için, hala fiziksel ortamda gerçekleşen kart dolandırıcılığı ülkemizde belli oranlarda hep devam etti. Bütün bölgelerde zaman içinde çipe geçiş süreci tamamlandı ve en son USA için son tarih Ekim 2015 zorunlu olmuştu, ülkemizden yaklaşık 10 yıl sonra çip uygulamasına geçilmiştir.
Ekim 2015 tarihinden sonra ülkemizde kart dolandırıcılığında trend kaymasının ikinci kırılımı yaşandı. Artık ülkemizde toplam gerçekleşen kart dolandırıcılığı %85 – %90 oranlarında sanal ortamda gerçekleşen kart dolandırıcılığına kaydı. Ve 2016 yılında ülke tarihimizin en yüksek kart dolandırıcılığı rakamlarına ulaşıldı. Dünyada bu konuda ilk 10’u zorladık. 2017 yılı ile ilgili rakamlar da çok farklı olmayacak.
Ayrıca şunu da belirtmek gerekir bu noktada, kart dolandırıcılığında ikinci kırılımın yaşandığı 2015 yılında, aynı zamanda ülkemiz açısından 6493 no’lu yasa ile ödeme kuruluşları ve elektronik para kuruluşlarının yetkilendirildiği, lisans sürecinin başlatıldığı yıldır. Artık banka dışında bu kurumlarda sanal pos hizmeti vermeye başladı ve bankaların kara listesinde bulunan kişilerde artık bu kurumlar üzerinden sanal pos kullanmaya başladılar. Bu geçiş sürecinin de kart dolandırıcılığı artışında etkisi olduğu aşikar olmakla birlikte, toplam içinde ne kadar etkisi olduğunu tam olarak bilemiyorum.
Bu noktada; yukarıda belirttiğim nedenlerle artık kart dolandırıcılığının ulaştığı bu boyut nedeniyle BDDK sürece müdahil oldu ve çoğu kesim tarafından tartışılan o kararı aldı diye düşünebilirsiniz. Ama öyle değil. BDDK tarafından bu analizin yapılması ve gerçek rakamlara ulaşılması mümkün değil. Çünkü ellerinde ne böyle bir veri var ne de veriye ulaşabilecekleri bir kanal var. BDDK bu kararı alırken, kendisine ulaşan kart hamilleri şikayetlerini baz aldı ve son yıllarda bu şikayet sayısındaki artış nedeniyle böyle bir karara imza attılar. Burada sorulması gereken soru, peki sanal ortamda gerçekleşen kart dolandırıcılığı işlemlerinde mali sorumluluk büyük ölçüde işyerlerine kalıyorsa, kart hamilleri neden BDDK’ya şikayet dilekçesi yağdırdılar ?
Bu sorunun cevabı 3D Secure olarak gerçekleşen fraud işlemlerdir. Daha önce bu konuda yazdığım yazıyı buradan okuyabilirsiniz. Özetle; bu dolandırıcılık trendinde; kredi dosya masrafı/kredi kartı aidatını geri alın,Ödül/para kazandınız bizi arayarak ödülü alın veya bankadan arıyoruz diyerek hayali senaryolarla kart sahipleri ikna edilerek kart verileri ve cep telefonuna gelen 3D güvenlik şifresi alınması ve kart sahibinden alınan bu verilerle e-ticaret sitelerinden harcama yapılarak dolandırıcılık gerçekleşiyor. Özünde kart hamilini dolandırılarak yapılan bir işlem olduğu halde, şifre ile işlem tamamlandığı için, bu işlem ile ilgili karthamilinin bankasına harcama itirazı hakkı bulunmuyor.
Yukarıda senaryosunu verdiğim bu sosyal mühendislik yöntemi ile sahte çağrı merkezleri üzerinden 3D Secure şifreleri ele geçirilerek mağdur olan ve işlemin 3d secure gerçekleşmesi ile , Uluslararası Kart Kuruluşları Kurallarına göre chargeback sürecinin mali sorumluluğu üzerine kalan kart sahiplerinin BDDK’ya ilettiği şikayet sayısında olan artış ile sürece BDDK da dahil oldu. Ve BDDK’nın ilgili kararı almasına neden oldu. Bunun dışında BDDK’nın elinde bir veri olmadığını düşünüyorum. Peki bu veri kimde var diyeceksiniz, o konuda da görüşlerimi yıllar önce yazmıştım. Buradan okuyabilirsiniz.
3D Secure olarak gerçekleşen fraud işlemler veya kart hamilleri tarafından kart bilgilerinin ve şifrelerinin 3. Şahıslarla paylaşılması sonucu oluşan kart dolandırıcılığı, şu an ülkemizde gerçekleşen toplam kart dolandırıcılığı içinde zorlasanız en fazla %10’dur. Ancak burada mali sorumluluk kart hamiline kalması demek, BDDK’ya şikayet demektir, sosyal medyada birçok paylaşım demektir, görsel ve yazılı medyada haber demektir. Bu yüzdendir reklamlarda çocuk kadar aklınız olsa paylaşmazsınız denmesi ve bu konuda bir bilinç oluşturulmaya çalışılması. Yoksa bu konu tamamen çözüme ulaşsa bile ülkemizde kart dolandırıcılığı sorunun çok ufak bir bölümü çözülecektir.
Bu nedenle BDDK’nın her ne sebeple olursa olsun, taşın altına elini sokması ve uygulanması çok mümkün olmayan bu karara imza atması bile, kart dolandırıcılığının ülkemizde geldiği boyutu göz ardı eden uyuyan devleri uyandırmıştır. Ülkemizde kart dolandırıcılığının geldiği boyut BDDK’nın bile tahmin ettiğinden fazla boyuttadır ancak bunun çözümü aldıkları karar değildir. Hastalığa konan teşhis ve yazılan reçete doğru değil ancak bu uygulanabilir gözükmeyen ve çözüm vermeyecek reçete, hastalığa karşı bir farkındalık yaratılmasını sağlamıştır.
Sanal ortamda gerçekleşen kart dolandırıcılığının ülkemizde en büyük nedeni kart verilerinin işyerlerinden çalınması, sızması, kopyalanmasıdır. Ve bunun kaynağının tespit edilmesi yani CPP (ortak kopyalama yeri ) noktasının hızlı şekilde açığa çıkarılıp gerekli tedbirlerin alınması konusunda yaşanan zafiyettir. Bununla birlikte hukuki düzenleme ve yasal zemin eksikliği diğer önemli bir sorundur. Aynı ekosistem içinde olan bankaların ödeme kuruluşları ile kara listeyi paylaşmaması… Kendi teşhisimi ve reçetemi başka bir yazımda paylaşırım. Çok uzattım farkındayım,bu yazımı da burada bitiriyorum…